Spring Security - 自定义登录表单在提交时不调用AuthenticationProvider

时间:2017-04-21 21:30:36

标签: spring security login authenticator

已解决

Spring Security 4似乎不再提供默认的login-processing-url。我们现在必须在表单登录中明确地提供它,如下所示。

login-processing-url="/j_spring_security_check"

我有一种奇怪的行为组合让我难过。找到了很多教程和类似的问题,但没有一个完全像这样。我希望有人可以提供帮助。

短版:登录页面重新显示 - 无论用户名/密码是好还是坏,都不会调用AuthenticationProvider(断点不会被触发)。

长版

第1步 - 成功

  • 我能够将spring security与默认的AuthenticationProvider和默认的自动生成的登录屏幕一起使用。好。
  • 我能够编写自定义AuthenticationProvider和UserDetailsS​​ervice。使用默认的自动生成的登录屏幕,一切正常。好。
  • ......所以上面排除了很多可能出现的问题。

第2步 - 问题 - 设置使用自定义登录表单

1)我添加了form-login:

<sec:form-login 
login-processing-url="/j_spring_security_check"
login-page="/login.htm"
authentication-failure-url="/login.htm?error" 
username-parameter="username"
password-parameter="password" 
/>
<sec:logout logout-success-url="/login.htm?logout"/>
<sec:csrf/>

2)我确保可以访问登录URL:

<sec:intercept-url pattern="/login.htm"      access="permitAll" />

3)我创建了一个简单的LoginController:

@Controller
public class LoginController {

@RequestMapping(value="/login.htm")
public ModelAndView login(HttpServletRequest request,
  @RequestParam(value="error", required=false) String error,
  @RequestParam(value="logout",required=false) String logout) {
  ModelAndView model = new ModelAndView();
  if(error!=null) {
    model.addObject("error", "Invalid username or password.");
  }
  if(logout!= null) {
    model.addObject("msg", "Successfully logged out.");
  }
  model.setViewName("/login");
  return model;
}

4)我创建了一个简单的login.jsp:

<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<html>
<head>
<title>Login</title>
</head>
<body onload="document.loginForm.username.focus()">
  <h1>Login form</h1>
  <div>
    <h2>Username and Password</h2>
    <c:if test="${not empty error}">
      <div style="color: red">${error}</div>
    </c:if>
    <c:if test="${not empty msg}">
      <div style="color: green">${msg}</div>
    </c:if>

    <form name="loginForm" action="<c:url value='j_spring_security_check' />" method='POST'>
      <table>
        <tr>
          <td>User:</td>
          <td><input type='text' name='username' value = '' /></td>
        </tr>
        <tr>
          <td>Password:</td>
          <td><input type='password' name='password' /></td>
        </tr>
        <tr>
          <td colspan='2'><input name="submit" type="submit" value="submit" /></td>
        </tr>
        <tr><td colspan='2'>[${not empty webUser}]</td></tr>
      </table>
      <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
    </form>
  </div>
</body>
</html>

5)然后我在Eclipse中设置一些断点以查看它的行为。

  • 登录页面显示正常。
  • 我输入用户名和密码,然后点击提交。
  • 用户名和密码的好坏都会导致相同的行为,即登录页面的重新显示。
  • AuthenticationProvider中的断点永远不会被触发。

我的解释是&lt; c:url value ='j_spring_security_check'/&gt;没有触发AuthenticationProvider。

请注意,当我使用内置的默认spring安全登录表单时,完全相同的自定义AuthenticationProvider可以正常运行。这告诉我问题与提供者本身无关,而是在我在login.jsp中点击提交时“到达它”,特别是因为我的第一行有一个断点并且它没有被触发。 / p>

我敢打赌,对于熟悉Spring Security的人来说,我的错误是微不足道的。我提前感谢那些抓住它的人。

1 个答案:

答案 0 :(得分:0)

此问题已得到解决。

Spring Security 4似乎不再提供默认的login-processing-url。我们现在必须在表单登录中明确地提供它,如下所示。

登录处理-URL =&#34; / j_spring_security_check&#34;

将头撞到墙上好几个小时之后,我偶然发现了解决方案。我希望这对同样情况下的其他人有所帮助。

相关问题
最新问题